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Nginx 服务 器 “秘籍 ” 


文 / 刘 曼 昊 


新 采编 发 系统 是 由 新 华 社 技术 局 主持 研发 ， 服 务 于 
新 华 社 全 社 新 闻 采 编 报道 日 常 业 务 的 新 一 代 新 闻 采 编 系 
统 ， 是 2016 年 实施 的 新 华 全 媒 工程 的 重要 组 成 ， 该 系统 
提供 信息 汇聚 、 报 道 策划 、 全 媒 生产 、 产 品 发 布 等 四 大 
类 主要 功能 。 面 对 业务 需求 变化 快 、 运 维 工 作 日 趋 复杂 、 
开 运 维 技术 换代 快 等 挑战 ， 按 照 “ 要 遵循 新 闻 传 播 规律 
和 新 兴 媒 体 发 展 规律 ， 运 用 互联 网 技术 体系 ， 提 升 技术 
人 员 对 先进 技术 的 自主 掌控 能 力 ”的 。 

这 就 是 新 华 全 媒 工 程 选择 Nginx 作为 Web 服务 器 的 
主要 原因 。 作 为 一 个 草根 出 身 的 软件 ，Nginx 在 业界 的 时 
易 大 名 也 许 你 并 不 陌生 。 十 多 年 前 ， 它 刚 一 诞生 就 出 手 
不 凡 ， 很 好 地 解决 了 传统 Web 服务 器 Apache 无 法 hold 
住 的 C10K 的 问题 ( 即 一 台 物 理 服务 器 达到 并 发 量 1 万 的 
时 候 ，Apache 就 会 承受 不 了 ) 。 

如 今 ， 在 新 华 社 新 一 代 技 术 系 统 架 构 中 ，Nginx 作为 
接 入 层 的 重要 环节 扮演 了 至 关 重 要 的 角色 ,通过 自主 掌 
控 Nginx 软件 的 安装 配置 ， 灵活 运 用 各 种 内 置 、 第 三 
模块 及 自 定义 lua 脚本 ， 不 仅 可 以 完成 基本 的 代理 转发 和 
软 负载 , 还 能 通过 对 流量 的 多 种 控制 处 理 实现 认证 鉴 权 、 
SSL 卸载 、 限 速 分 流 、 接 人 审计 等 功能 ， 以 满足 用 户 和 应 
用 系统 的 多 种 需求 。 

Nginx 是 一 款 开 源 免费 的 HTTP 和 反 向 代理 服务 器 ， 
它 由 俄罗斯 人 伊 戈 尔 塞 索 耶 夫 编写 ,最 时 发布 于 2004 年 。 
十 多 年 来 ， 由 于 其 出 色 的 性 能 ，Nginx 在 互联 网 突 飞 猛 
进 的 时 代 里 飞速 发 展 ， 根 据 W3Techs 网 站 的 报告 ， 目 前 
全 球 TOP 1000 的 网 站 中 有 接近 六 成 在 使 用 Nginx， 包 括 
Netflix, Dropbox, Wikipedia 等 ， 而 排名 第 二 的 Apache 仅 占 
16.5%。Nginx 最 突出 的 特性 包括 高 并 发 、 轻 量 级 、 稳 定 ， 
这 得 益 于 它 使 用 异步 、 非 阻塞 、 事 件 驱 动 的 方式 处 理 请 
求 ,测试 显示 它 能 处 理 高 达 Apache4 倍 之 多 的 并 发 请 求 量 ， 
同时 使 用 的 内 存 资源 却 远 低 于 Apache。 

要 使 用 Nginx， 第 一 步 要 掌握 Nginx 的 安装 : 

在 安装 Nginx 之 前 ， 首 先 要 安装 3 个 依赖 软件 包 : 
PCRE 正则 表达 式 库 ，zlib 压缩 库 和 OpenSSL 加 密 工 具 集 ， 
Nginx 的 配置 、 压 缩 和 ssl 功能 中 需要 用 到 这 些 软件 。 

安装 Nginx 包括 3 步 ， 配 置 、 编 译 和 安装 ， 首 先 需 
要 在 Nginx 官网 http:/nginx.org/ 下 载 源 码 包 ， 一 般 建 议 使 
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用 稳定 版 (Stable Version ) 。 

在 配置 阶段 ,由 于 Nginx 使 用 高 度 模 块 化 的 架构 设计 ， 
需要 手动 设置 各 个 模块 的 开关 选项 。 对 于 默认 关闭 的 
Nginx 内 置 模 块 ， 可 以 使 用 --with-module_name 的 方式 
开启 开关 ， 对 于 第 三 方 模块 ， 可 以 使 用 --add-module=/ 
path/to/module 的 方式 加 以 集成 。 

启用 一 些 常 用 的 内 置 模块 的 配置 如 下 : 

四 层 协 议 转 发 

支持 https 

® ——with—http_gzip_static_module Gzip 静态 模块 

® ——with—http_geoip_module GeolP 模块 

为 FLV 文件 提供 服务 


@ ——with—stream 


® ——with—http_ssl_module 


® ——with—http_flv_module 
端 伪 流 媒体 支持 

® ——with—http_stub_status_module 状态 信息 页 

Nginx 有 大 量 的 第 三 方 模块 ， 官 网 上 提供 了 所 有 第 
三 方 模块 的 清单 : https://www.nginx.com/resources/wiki/ 
modules/index.html， 一 些 常 用 的 第 三 方 模 块 包括 : 
主动 健康 检查 
会 话 保持 


® nginx_upstream_check_module 


® nginx—sticky—module 
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使 用 make 和 make install， 就 完成 编译 安装 了 。 
安装 完成 后 ， 还 需要 掌握 Nginx 的 基本 控制 命令 : 


® ngx_log if 


® nginx 启动 nginx 

® nginx —s stop 立刻 停止 
® nginx —s quit 温柔 停止 
® nginx —s reload 重 载 配 置 文件 


了 解 完 安装 和 基本 控制 ,来 看 看 Nginx 具体 能 扮演 
哪些 角色 吧 : 


1. 反 向 代理 

应 用 部 署 好 了 ， 如 何 让 用 户 能 访问 到 呢 ? 这 正 是 
Nginx 反 向 代理 的 用 武之 地 ， 用 户 通 过 域名 访问 的 请 求 到 
达 Nginx 服务 器 后 ，Nginx 可 以 根据 域名 和 路 径 区 分 这 些 
请 求 并 转发 给 不 同 的 后 端 服务 器 集群 ， 即 使 用 户 无 法 通 
过 网 络 直达 这 些 后 端 服务 器 。Nginx 四 层 和 七 层 的 代理 分 
别 使 用 ngx_stream_proxy_module 和 ngx_http_proxy_module 
模块 ， 都 用 proxy_pass URL 的 方式 配置 实现 。 


2. 负载 均衡 

应 用 服务 器 出 问题 了 怎么 办 ?不 要 紧 ， 将 Nginx 用 
做 软 负载 ， 能 够 将 影响 程度 降低 至 最 低 。Nginx 可 以 提供 
灵活 多 变 的 负载 配置 ， 包 括 轮 询 、 加 权 轮 询 、 耳 哈 希 、 
主 备 等 ， 用 于 满足 多 样 的 需求 。 此 外 ， 还 可 以 通过 集成 
nginx_upstream_check_module 第 三 方 模块 ， 进 一 步 实现 基 
于 tcp 和 http 的 主动 健康 检查 ， 让 Nginx 的 负载 均衡 能 
如 虎 添 辟 。 


3. 访问 控制 
并 非 所 有 的 系统 都 全 部 面向 互联 网 开放 ， 有 的 系统 
只 人 允许 办 公 网 络 访问 ， 还 有 的 系统 里 某 些 页 面 可 以 对 互 
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一 的 用 户 认证 系统 登录 、 过 滤 并 鉴 权 。 


5. SSL 钊 载 

近年 来 ，HTTPS 逐渐 取代 HTTP 成 为 传输 协议 界 的 
新 宠 ， 众 多 互联 网 网 站 开始 从 HTTP 切换 到 HTTPS， 以 
实现 加 密 、 可 信访 问 。Nginx 的 ngx_http_ssl_module 模块 
对 https 提供 了 必要 的 支持 ， 想 要 实施 HTTPS 的 网 站 可 以 
将 证 书 安装 在 Nginx 服务 器 上 ， 由 Nginx 进行 ssl 密 文 数 
据 流 的 卸载 。 


6. 限 速 限 流 

当 遇 到 真实 的 流量 远 远大 于 系统 测试 的 可 承载 流量 
时 ,一 方面 可 能 让 系统 垮 掉 , 男 一 方面 可 能 拥堵 出 口 带宽 ， 
这 时 就 必须 进行 限 流 。 限 流 是 从 上 到 下 贯穿 整个 应 用 的 ， 
接 入 层 作为 最 外 面 的 屏障 ， 需 要 做 好 整个 系统 的 限 流 。 
对 于 Nginx 来 讲 ， 限 流 有 多 种 方式 ， 可 以 使 用 ngx_http_ 
core_module 核心 模块 对 连接 数 进行 限制 ， 也 可 以 对 访问 
频率 进行 限制 ， 还 可 以 启用 过 载 保护 sysgurad 模块 。 


7. 接 入 审计 

可 以 通过 搭建 ELK 平台 收集 和 分 析 接 入 层 Nginx 日 
志 ， 实 现 可 视 化 的 接 入 审计 及 分 析 平台 ， 消 息 队 列 可 以 
采用 Redis 或 Kafka。 

除了 上 述 种 种 应 用 场景 ，Nginx 还 有 一 个 运 维 人 员 不 
可 不 知 的 炫 酷 操作 一 一 平滑 升级 。 作 为 一 个 互联 网 软件 ， 
Nginx 版 本 迭代 升级 比较 频繁 ,对 运 维 人 员 来 说 ,为 了 享 
受 新 版 本 的 新 特性 ， 免 不 了 要 对 生产 环境 的 Nginx 进行 版 
本 升级 ， 而 平滑 升级 操作 可 以 在 业务 毫 无 感知 的 情况 下 
完成 ， 运 维 人 员 只 需 在 备份 并 替换 sbin 目录 下 的 可 执行 
文件 后 ， 使 用 kill -s USR2 `cat /path/to/nginx.pi 夏 命令 ,让 
Nginx 开始 新 旧版 本 并 行 运行 ， 随 后 再 优雅 退出 旧 进 程 即 


联网 开放 ， 其 他 页 面 则 仅 允 许 特 定 的 内 部 下 访问 ， 面 对 
这 些 细 粒 度 的 访问 控制 需求 ， 通 过 使 用 ngx_http_access_ 
module 模块 ，Nginx 可 以 提供 基于 七 层 的 灵活 的 黑白 名 单 
方式 配置 访问 控制 策略 。 


4. 认证 鉴 权 

有 些 应 用 系统 想 要 加 把 锁 , 输入 正确 的 用 户 名 密码 
才能 访问 ，nginx 默认 自 带 的 认证 模块 就 可 以 实现 ， 通 过 
ngx_http_auth_basic_module 模块 ， 结 合 htpasswd 命令 生 
成 用 户 名 及 对 应 密码 数据 库 文件 ，Nginx 可 以 很 轻松 地 实 
现 这 种 认证 。 男 一 种 认证 方式 也 很 流行 ，Nginx+Lua ( 类 
似 Openresty ) 可 以 让 用 户 在 访问 业务 系统 之 前 先 通过 统 


同 。 
看 到 这 里 ， 你 有 没有 跃跃欲试 了 呢 ， 快 去 体验 一 下 
这 款 Web 服务 器 神器 吧 。 


( 作者 单位 : 新 华 社 通信 技术 局 ) 


